TOPSoftware > 「ソーシャルエンジニアリング」、昔ながらの5つの手口と今どき...

Software

「ソーシャルエンジニアリング」、昔ながらの5つの手口と今どきの4つの手口(上)

2022/04/18

Stacy Collett CSO

 コロナ疲れ、リモートワーク、情報過多といった状況の中、企業で働く人々の間でソーシャルエンジニアリングに対する警戒が緩んでいる様子が見受けられる。米セキュリティ企業のProofpointが企業で働く3500人を対象に行った調査によると、2021年に勤務先の企業がメールを使ったフィッシング攻撃を受けたと回答した人は83%で、前年比26ポイント増だった。

Credit: SpiffyJ / Getty Images
Credit: SpiffyJ / Getty Images

 米セキュリティーコンサルティング企業Principle Logicの主席コンサルタント、Kevin Beaver氏は言う。「対応を機械的で、なおざりにしている人は多い。人の注意を奪うものや雑音が世の中にあふれている現在はなおさらだ。重大なはずの意思決定が、潜在意識に支配されている。悪党たちは、そこに付け入る隙があると考えている」

 英メールセキュリティー企業のTessianが公開した調査リポートによると、企業からのデータ流出の約88%はヒューマンエラーによって生じている。また、フィッシングメールをクリックした従業員にその理由を尋ねたところ、最も多かった回答は注意散漫で、45%の人が挙げていた。そのほかには、本物のメールに見えたこと、自社の経営幹部を装ったメールだったこと、有名企業を装ったメールだったことなどが上位に来た。また、回答者全体のうち57%は、在宅勤務時により注意散漫になると答えた。

 ヒューマンエラーから生じるセキュリティー侵害がもたらす影響は、ますます大きくなっている。Proofpointによると、21年に同社が確認した中には、ランサムウエアの前段階にあたるマルウエアが添付されたフィッシングメールが1500万件近くあった。また、英セキュリティー企業Sophosの調査リポートによると、21年におけるランサムウエア攻撃からの復旧にかかる総コストは平均で185万ドルだった。

 古くからあるソーシャルエンジニアリングの手口がいまだに効力を発揮しているのはなぜなのだろうか。セキュリティー意識向上トレーニングを手がける米KnowBe4のCEO、Stu Sjouwerman氏は、15年のブログ記事でソーシャルエンジニアリングの7つの大罪として、「好奇心」「親切心」「信じやすさ」「強欲」「軽率」「気後れ」「無関心」を挙げた。この7つは現在も多くの人に見られる。

↑ページ先頭へ